Risque

  • Exécution de code arbitraire à distance

Systèmes affectés

  • Adobe Flash Extended Support Release 13.0.0.302 et les versions 13.x antérieures pour Windows et Macintosh
  • Adobe Flash Player 18.0.0.203 et versions antérieures pour Windows et Macintosh
  • Adobe Flash Player 18.0.0.204 et versions antérieures pour Linux installées avec Google Chrome
  • Adobe Flash Player Extended Support Release 11.2.202.481 et les versions 11.x antérieures pour Linux

Résumé

Suite à l'exfiltration des données provenant de l'entreprise italienne Hacking Team, une seconde vulnérabilité de type 0-day dans Adobe Flash Player a été découverte, suivie d'une troisième plus récemment.

Ces vulnérabilités sont critiques et peuvent permettre à un attaquant de provoquer une exécution de code arbitraire à distance.

De façon similaire à la vulnérabilité couverte par l'alerte CERTFR-2015-ALE-005, ces nouvelles vulnérabilités risquent d'être rapidement intégrées dans différents kits d'exploitations et d'être utilisées dans le cadre d'attaques.

Solution

Se référer au bulletin de sécurité de l'éditeur pour l'obtention des correctifs (cf. section Documentation).

Documentation